CN114969744A - 进程拦截方法及系统、电子设备、存储介质 - Google Patents

进程拦截方法及系统、电子设备、存储介质 Download PDF

Info

Publication number
CN114969744A
CN114969744A CN202210723599.6A CN202210723599A CN114969744A CN 114969744 A CN114969744 A CN 114969744A CN 202210723599 A CN202210723599 A CN 202210723599A CN 114969744 A CN114969744 A CN 114969744A
Authority
CN
China
Prior art keywords
strategy
interception
target process
server
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210723599.6A
Other languages
English (en)
Inventor
唐雨
马建刚
车志林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202210723599.6A priority Critical patent/CN114969744A/zh
Publication of CN114969744A publication Critical patent/CN114969744A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种进程拦截方法及系统、电子设备、计算机可读存储介质,方法包括:生成目标进程的进程事件,并通过所述进程事件获取与所述目标进程对应的进程信息;在策略库中查找所述进程信息,判断是否命中黑名单策略;如果命中指示拦截的黑名单策略,拦截所述目标进程,并将所述目标进程的运行权限修改为不可运行。本申请方案,由于已拦截的目标进程被修改了运行权限,可以避免目标进程后续反复重启,避免客户端在拦截进程时产生的无效资源浪费,从而提升了客户端系统的运行效率。

Description

进程拦截方法及系统、电子设备、存储介质
技术领域
本申请涉及计算机安全防御技术领域,特别涉及一种进程拦截方法及系统、电子设备、计算机可读存储介质。
背景技术
进程是计算机中程序关于某数据集合的一次运行活动,是系统进行资源分配和调试的基本单元,是构成系统结构的基础。在主机安全领域,进程是安全检测和入侵防护的主要对象。对可疑进程的识别和拦截是信息安全领域中常用的技术,也是计算机及网络安全的常用技术手段。
相关技术,可以基于sycall hook进程监控和特征匹配进行进程拦截。然而,对异常进程拦截后,被拦截的进程可能通过定时任务或其它方式反复启动,对反复重启的异常进程的处理浪费资源,导致系统性能低下。
发明内容
本申请实施例的目的在于提供一种进程拦截方法及系统、电子设备、计算机可读存储介质,用于避免拦截进程时无效的资源浪费。
一方面,本申请提供了一种进程拦截方法,应用于客户端,包括:
生成目标进程的进程事件,并通过所述进程事件获取与所述目标进程对应的进程信息;
在策略库中查找所述进程信息,判断是否命中黑名单策略;
如果命中指示拦截的黑名单策略,拦截所述目标进程,并将所述目标进程的运行权限修改为不可运行。
通过上述措施,在确定目标进程为命中指示拦截的黑名单策略后,在杀死目标进程之后修改其运行权限,避免目标进程后续反复重启,导致对目标进程反复拦截而造成资源浪费,从而提升了系统运行效率。
在一实施例中,在所述拦截所述目标进程,并将所述目标进程的运行权限修改为不可运行之前,所述方法还包括:
判断预设拦截状态表中是否存在所述目标进程的历史拦截记录;其中,所述历史拦截记录为此前对进程的拦截记录;
如果是,确定所述目标进程异常启动,向服务端通知所述目标进程的异常启动情况。
通过上述措施,客户端可以在拦截目标进程时,检查此前是否已经拦截该进程,从而发现已拦截进程的异常启动情况,进而通告服务端进行分析。
在一实施例中,在所述拦截所述目标进程,并将所述目标进程的运行权限修改为不可运行之后,所述方法还包括:
在所述拦截状态表中写入本次为所述目标进程进行拦截的拦截记录。
通过上述措施,以拦截状态表记录对已拦截进程的拦截状态,便于后续对进程的管理。
在一实施例中,所述方法还包括:
周期性向服务端发送标识查询请求,以查询当前策略标识;
判断所述当前策略标识与所述策略库中多条策略的历史策略标识是否一致;
若不一致,基于所述当前策略标识从所述服务端获取当前策略,并以所述当前策略更新所述策略库。
通过上述措施,客户端可以及时更新本地策略库中的安全策略,确保能够正常拦截异常进程。
在一实施例中,所述方法还包括:
当所述策略库发生更新后,根据已拦截进程的进程信息判断是否命中更新后的黑名单策略;
若未命中,将所述已拦截进程的运行权限修改为可运行。
通过上述措施,在策略库更新后,可以对已拦截进程重新进行处理,从而更改当前最新安全策略下正常进程的运行权限,使得正常进程可以正常运行。
另一方面,本申请提供了一种进程拦截系统,包括:
服务端,用于下发处理进程的策略;
客户端,与所述服务端连接,用于将所述服务端下发的策略写入策略库;生成目标进程的进程事件,并通过所述进程事件获取与所述目标进程对应的进程信息;在策略库中查找所述进程信息,判断是否命中黑名单策略;如果命中指示拦截的黑名单策略,拦截所述目标进程,并将所述目标进程的运行权限修改为不可运行。
本系统中,服务端下发策略后,客户端可以依据策略拦截目标进程后,修改其运行权限,避免目标进程后续反复重启,导致对目标进程反复拦截而造成资源浪费,从而提升了系统运行效率。
在一实施例中,包括:
所述服务端,还用于在下发处理进程的策略时,根据每一客户端的安全等级/所属网络,向所述客户端下发与所述安全等级/所属网络匹配的策略。
本系统中,服务端可以根据客户端的安全等级或所属网络下发针对性的安全策略,使得客户端后续实现更精准的进程拦截。
在一实施例中,包括:
所述客户端,还用于判断预设拦截状态表中是否存在所述目标进程的历史拦截记录;其中,所述历史拦截记录为此前对进程的拦截记录;如果是,确定所述目标进程异常启动,向服务端通知所述目标进程的异常启动情况;
所述服务端,还用于确定所述目标进程存在异常启动情况后,判断预设网络特征库中,是否存在与所述目标进程的进程信息匹配的异常特征;若存在,输出提示信息,以确定是否生成新策略。
本系统中,服务端可以动态生成新的安全策略。由于服务端可以对接多个客户端,通过多个客户端上报的日志信息,服务端可以进行整合分析,从而得到大量新的安全策略,提高了整个进程拦截系统的有效性和可预测性。
在一实施例中,包括:
所述客户端,还用于周期性向服务端发送标识查询请求,以查询当前策略标识;判断所述当前策略标识与所述策略库中多条策略的历史策略标识是否一致;若不一致,基于所述当前策略标识向所述服务端发起策略更新请求;
所述服务端,还用于响应于标识查询请求,返回当前策略标识;响应于策略更新请求,返回所述当前策略标识指示的当前策略。
本系统中,客户端通过周期性查询最新的安全策略,可以及时更新自身的安全策略,从而保证进程拦截的准确性。
进一步的,本申请提供了一种电子设备,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行上述进程拦截方法。
此外,本申请还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成上述进程拦截方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍。
图1为本申请一实施例提供的进程拦截方法的应用场景示意图;
图2为本申请一实施例提供的电子设备的结构示意图;
图3为本申请一实施例提供的进程拦截方法的流程示意图;
图4为本申请一实施例提供的安全策略的更新方法的流程示意图;
图5为本申请一实施例提供的进程拦截装置的框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
图1为本申请实施例提供的进程拦截方法的应用场景示意图。如图1所示,该应用场景包括客户端20和服务端30;服务端30可以是服务器、服务器集群或云计算中心,可以向客户端20下发安全策略;客户端20可以是主机、手机、平板电脑等终端设备,用于基于服务端30下发的安全策略执行进程拦截方法。
如图2所示,本实施例提供一种电子设备1,包括:至少一个处理器11和存储器12,图2中以一个处理器11为例。处理器11和存储器12通过总线10连接,存储器12存储有可被处理器11执行的指令,指令被处理器11执行,以使电子设备1可执行下述的实施例中方法的全部或部分流程。在一实施例中,电子设备1可以是上述客户端20,用于执行进程拦截方法。
存储器12可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Red-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
本申请还提供了一种计算机可读存储介质,存储介质存储有计算机程序,计算机程序可由处理器11执行以完成本申请提供的进程拦截方法。
参见图3,为本申请一实施例提供的进程拦截方法的流程示意图,如图3所示,该方法可以包括以下步骤310-步骤330。
步骤310:生成目标进程的进程事件,并通过进程事件获取与目标进程对应的进程信息。
其中,目标进程为待检测的进程。进程信息获取指令用于指示获取进程信息。这里,进程信息可以包括但不限于PID(Process Identification,进程标识)、PPID(ParentProcess Identification,父进程标识)、TTY ID(Teletype/TeletypewriterIdentification,终端标识)、进程权限、进程状态、访问文件、监听端口、监控socket等。
一种情况下,在初始情况下,客户端可以遍历/proc目录下的进程目录,获取目录内每一进程的进程标识,将每一进程标识指示的进程作为目标进程,并为目标进程生成进程事件。客户端可以通过进程事件,获取与目标进程对应的进程信息。通过该措施,客户端可以获取本地已运行的进程的进程信息。
另一种情况下,客户端可以通过Netlink Connector与内核通讯,从而获取监听新启动的进程,将该进程作为目标进程,并获取该目标进程的进程标识。客户端可以为进程标识指示的目标进程,生成进程事件,并通过进程事件获取与目标进行对应的进程信息。通过该措施,客户端可以在监听到新的进程启动时,获取该进程的进程信息。
步骤320:在策略库中查找进程信息,判断是否命中黑名单策略。
其中,策略库内可以包括多个安全策略,安全策略可以为白名单策略和黑名单策略。白名单策略指示正常进程;黑名单策略指示异常进程,黑名单策略内执行动作可以包括拦截和不拦截。客户端可以从服务端获取安全策略,并写入至策略库中,用于进程拦截。
客户端可以基于进程信息在策略库中进行查找,判断是否存在策略特征与目标进程的进程信息相匹配的安全策略。如果存在任一安全策略的策略特征与进程信息相匹配,说明目标进程的进程信息命中该安全策略。如果不存在任一安全除了的策略特征与进程信息相匹配,说明目标进程的进程信息未命中任何安全策略。
在命中安全策略的情况下,客户端可以检查该安全策略是否为黑名单策略。一方面,若该安全策略为白名单策略,可以不作处理。另一方面,若该安全策略为黑名单策略,客户端可以依据黑名单策略中的执行动作对目标进程进行处理,具体参照下文相关描述。
步骤330:如果命中指示拦截的黑名单策略,拦截目标进程,并将目标进程的运行权限修改为不可运行。
如果黑名单策略中执行动作为不拦截,客户端可以不作处理。如果黑名单策略中执行动作为拦截,客户端可以向内核发送系统信号,从而拦截目标进程,并在内核中对目标进程的运行权限进行修改,改为不可运行。
此外,在进程信息命中安全策略后,客户端可以生成日志信息。客户端可以将拦截过程所生成的日志信息传递至服务端,使得服务端通过分析日志信息生成新的安全策略。日志信息可以包括对目标进程的处理情况、目标进程所命中的安全策略、日志产生时间等。
通过上述措施,在确定目标进程为命中指示拦截的黑名单策略后,在杀死目标进程之后修改其运行权限,避免目标进程后续反复重启,导致对目标进程反复拦截而造成资源浪费,从而提升了系统运行效率。
在一实施例中,拦截目标进程,并将目标进程的运行权限修改为不可运行之后,客户端可以在拦截状态表中写入本地为目标进程进行拦截的拦截记录。其中,拦截状态表用于存储对异常进程的拦截记录。
示例性的,拦截记录可以包括进程路径的哈希值。客户端拦截目标进程之后,可以对目标进程的所处路径计算哈希值,并将该哈希值写入到状态拦截表中。在一实施例中,拦截记录还可以包括拦截进程所用的策略、拦截时间等信息。
通过上述措施,以拦截状态表记录对已拦截进程的拦截状态,便于后续对进程的管理。
在一实施例中,在目标进程的进程信息命中黑名单策略后,客户端在拦截目标进程之前,可以判断拦截状态表中是否存在目标进程的历史拦截记录。其中,历史拦截记录为此前对进程的拦截记录。
客户端可以对目标进程的进程路径计算哈希值,并在拦截状态表中查找该哈希值,判断是否命中任一历史拦截记录。
一种情况下,不存在目标进程的历史拦截记录,说明此前客户端尚未拦截过目标进程,此时可以继续对目标进程进行拦截,并修改目标进程的运行权限为不可运行。另一种情况下,存在目标进程的历史拦截记录,说明此前客户端已经拦截过目标进程,客户端可以确定当前目标进程是拦截之后异常启动,客户端可以向服务端通知目标进程异常启动情况,使得服务端可以对该异常启动情况进行分析。示例性的,客户端可以通过日志信息的形式向服务端上报目标进程的异常启动情况。
通过上述措施,客户端可以在拦截目标进程时,检查此前是否已经拦截该进程,从而发现已拦截进程的异常启动情况,进而通告服务端进行分析。
在一实施例中,在拦截目标进程之后,客户端可以将对目标请求的运行权限修改情况写入本地数据库(比如:sqlite)。客户端可以记录目标进程的所处路径的哈希值与修改后运行权限的映射关系。后续客户端如果出现宕机、断电等情况,在重启后,可以根据已记录的运行权限修改情况,对各进程的权限进行设置。
通过上述措施,可以持久化存储对进程的运行权限修改情况,确保客户端在重启后能够正确设置已拦截进程的运行权限。
在一实施例中,在目标进程的进程信息命中黑名单策略后,根据黑名单策略处理目标进程时,进程信息可能命中多个黑名单策略。此时,客户端可以检测多个黑名单策略的执行动作是否均为拦截。一方面,多个黑名单策略的执行动作均为拦截,客户端可以照常拦截目标进程,并修改目标进程的运行权限为不可运行。另一方面,多个黑名单策略中存在任一黑名单策略的执行动作为不拦截,此时,客户端可以暂不拦截目标进程,并通过日志信息的形式向服务端传递对该目标进程的处理情况,使得后续服务端可以针对该目标进程下发更明确的安全策略。
在一实施例中,客户端可以向服务端请求最新的安全策略,从而更新本地的策略库。参见图4,为本申请一实施例提供的安全策略的更新方法的流程示意图,如图4所示,客户端可以通过如下步骤410-步骤430以更新本地策略库中的安全策略。
步骤410:周期性向服务端发送标识查询请求,以查询当前策略标识。
其中,标识查询请求用于查询当前最新的策略表示。发送标识查询请求的周期时长可以根据经验进行设置。示例性的,客户端可以每隔10秒向服务端发送标识查询请求。
客户端周期性发送标识查询请求之后,可以获得服务端响应于该标识查询请求所返回的当前策略标识。当前策略标识用于指示服务端为客户端所生成的最新安全策略。在一实施例中,当前策略标识可以包括与每一最新的安全策略对应的策略标识,此时客户端可以查询到多个策略标识。在另一实施例中,当前策略标识为指示当前所有安全策略的唯一标识。示例性的,当服务端为客户端生成的安全策略从100条变为101条时,服务端为这101条安全策略整体生成一个当前策略标识。
步骤420:判断当前策略标识与策略库中多条策略的历史策略标识是否一致。
其中,历史策略标识为策略库内多条安全策略此前的策略标识。
客户端在接收到当前策略标识之后,可以判断当前策略标识与历史策略标识是否一致,从而确定服务端是否生成新的安全策略。在一实施例中,策略标识指示唯一安全策略,客户端可以比对多个历史策略标识和多个当前策略标识,从而确定两者之间是否存在差异的安全策略。另一实施例中,策略标识指示多个安全策略整体,客户端可以比对历史策略标识与当前策略标识是否相同。该实施例中仅比较两个标识,比对速度更快。
一方面,如果当前策略标识与历史策略标识一致,客户端可以不作处理,继续周期性发送标识查询请求。另一方面,如果当前策略标识与历史策略标识不一致,可以继续执行步骤430。
步骤430:若不一致,基于当前策略标识从服务端获取当前策略,并以当前策略更新策略库。
当前策略标识与历史策略标识不同时,客户端可以向服务端发送策略更新请求,该策略更新请求可以携带需要更新的安全策略的策略标识。在一实施例中,策略标识指示唯一安全标识,客户端可以筛选出当前策略标识与历史策略标识中不同的策略标识,并基于筛选出的策略标识构建策略更新请求。这种情况下,服务端可以根据各个策略标识下发对应的安全策略,使得客户端可以获取当前最新的安全策略,并更新策略库。另一实施例中,策略标识指示为客户端生成的安全策略整体,客户端基于当前策略标识构建策略更新请求。这种情况下,服务端可以根据当前策略标识,向客户端返回所有当前最新的安全策略。
通过上述措施,客户端可以及时更新本地策略库中的安全策略,确保能够正常拦截异常进程。
在一实施例中,在更新策略库之后,对于一些已拦截进程,当前最新的安全策略可能指示已拦截进程属于正常进程。当策略库发生更新后,客户端可以根据已拦截进程的进程信息判断是否命中更新后的黑名单策略。一方面,已拦截进程的进程信息命中更新后的黑名单策略,说明在更新后安全策略下,已拦截进程仍为需要拦截的异常进程。此时,客户端可以不作处理。另一方面,已拦截进程的进程信息未命中更新后的黑名单策略,说明在更新后安全策略下,已拦截进程变为无需拦截的正常进程。此时,客户端可以在内核中将已拦截进程的运行权限修改为可运行,使得后续该进程可以正常运行。此外,客户端对拦截状态表删除对应的拦截记录。
通过上述措施,在策略库更新后,可以对已拦截进程重新进行处理,从而更改当前最新安全策略下正常进程的运行权限,使得正常进程可以正常运行。
本申请还提供了一种进程拦截系统,该进程拦截系统可以包括服务端和服务端所管理的若干客户端。
服务端,可以是维护人员所对接的服务器、服务器集群或云计算中心,用于下发处理进程的策略。服务端可以向自身所管理的每一客户端下发安全策略,安全策略可以包括指示正常进程的白名单策略、指示异常进程的黑名单策略。
客户端,可以是主机、手机、平板电脑等终端设备,与服务端通过有线或无线的方式连接,用于服务端下发的策略写入策略库;生成目标进程的进程事件,并通过进程事件获取与目标进程对应的进程信息;在策略库中查找进程信息,判断是否命中黑名单策略;如果命中指示拦截的黑名单策略,拦截目标进程,并将目标进程的运行权限修改为不可运行。
客户端依据安全策略执行进程拦截的具体过程可以参照前文相关描述,在此不再赘述。
客户端对进行进程拦截过程中,可以向服务端上报日志信息,使得服务端后续基于日志信息生成新的安全策略。
在一实施例中,服务端在向客户端下发处理进程的策略时,可以根据每一客户端的安全等级或所属网络,向客户端下发与安全等级或所属网络匹配的策略。
服务端可以记录其管理的多个客户端的客户端信息,客户端信息可以包括IP(Internet Protocol Address,互联网协议地址)地址、操作系统、安全等级等。针对不同安全等级的客户端,可以生成不同的安全策略。服务端可以依据客户端的安全等级,确定其所需的安全策略,并下发安全策略。针对客户端所属的不同网络,可以生成不同的安全策略。服务端可以依据客户端的所属网络,确定其所需的安全策略,并下发安全策略。示例性的,对于企业而言,不同职能部门的计算机可以划分至不同局域网,服务端可以向各个局域网分别下发对应的安全策略。
通过上述措施,服务端可以向客户端下发更有针对性的安全策略,实现更精准的进程防护。
在一实施例中,客户端在拦截进程过程中,还用于判断预设拦截状态表中是否存在目标进程的历史拦截记录;其中,历史拦截记录为此前对进程的拦截记录;如果是,确定目标进程异常启动,向服务端通知目标进程的异常启动情况。客户端可以通过日志信息的形式向服务端上报目标进程的异常启动情况。
服务端,还用于确定目标进程存在异常启动情况后,判断预设网络特征库中,是否存在与目标进程的进程信息匹配的异常特征;若存在,输出提示信息,以确定是否生成新策略。
服务端上策略规则可以包括白名单、基本策略库和网络特征库。其中,白名单包括运维人员所配置的正常进程的路径、名称、路径哈希值等,服务端可以根据白名单生成白名单策略。基本策略库包括指示异常进程的规则,包括但不限于:进程属于隐藏进程;子进程权限大于父进程;进程隐藏端口号;进程运行时CPU或内存占用率过高;进程周期性启动;进程在特定时间段启动等。在初次下发策略前,服务端可以基于基本策略库生成黑名单策略。网络特征库包括其它指示异常进程的规则,包括但不限于:从某些主机开始扩散的进程;包含病毒文件特征的进程;非维护主机(正常运行时不会启动新进程的主机)上发现新启动的进程;不同主机中向同一未知IP发送请求的进程等。网络特征库用于服务端根据客户端上报的日志信息生成新的黑名单策略。
服务端确定目标进程的异常启动情况后,可以在网络特征库中查找与目标进程的进程信息匹配的异常特征。在查到异常特征后,确定可为目标进程生成更高层级的安全策略。服务端可以向运维人员输出提示信息,该提示信息用于指示目标进程存在异常启动情况、且匹配到网络特征库中的异常特征。这种情况下,运维人员可以添加豁免规则或拦截指示,使得服务端生成新策略。
通过上述措施,进程拦截过程中,服务端可以动态生成新的安全策略。由于服务端可以对接多个客户端,通过多个客户端上报的日志信息,服务端可以进行整合分析,从而得到大量新的安全策略,提高了整个进程拦截系统的有效性和可预测性。
在一实施例中,客户端,还用于周期性向服务端发送标识查询请求,以查询当前策略标识;判断当前策略标识与策略库中多条策略的历史策略标识是否一致;若不一致,基于当前策略标识向服务端发起策略更新请求。
客户端在更新安全策略时所执行的步骤可以参照前文相关描述,在此不再赘述。
服务端,还用于响应于标识查询请求,返回当前策略标识;响应于策略更新请求,返回当前策略标识指示的当前策略。
服务端在接收到标识查询请求后,可以向客户端返回为其生成的当前策略标识。在一实施例中,服务端可以根据客户端的安全等级或所属网络,向客户端返回与安全等级或所属网络匹配的当前策略标识。
当服务端接收到策略更新请求后,确定客户端需要更新安全策略,可以向客户端返回当前策略标识所指示的当前最新的安全策略。
图5是本发明一实施例的一种进程拦截装置的框图,如图5所示,该装置可以包括:
获取模块510,用于生成目标进程的进程事件,并通过所述进程事件获取与所述目标进程对应的进程信息;
判断模块520,用于在策略库中查找所述进程信息,判断是否命中黑名单策略;
拦截模块530,用于如果命中指示拦截的黑名单策略,拦截所述目标进程,并将所述目标进程的运行权限修改为不可运行。
上述装置中各个模块的功能和作用的实现过程具体详见上述进程拦截方法中对应步骤的实现过程,在此不再赘述。
在本申请所提供的几个实施例中,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

Claims (11)

1.一种进程拦截方法,应用于客户端,其特征在于,包括:
生成目标进程的进程事件,并通过所述进程事件获取与所述目标进程对应的进程信息;
在策略库中查找所述进程信息,判断是否命中黑名单策略;
如果命中指示拦截的黑名单策略,拦截所述目标进程,并将所述目标进程的运行权限修改为不可运行。
2.根据权利要求1所述的方法,其特征在于,在所述拦截所述目标进程,并将所述目标进程的运行权限修改为不可运行之前,所述方法还包括:
判断预设拦截状态表中是否存在所述目标进程的历史拦截记录;其中,所述历史拦截记录为此前对进程的拦截记录;
如果是,确定所述目标进程异常启动,向服务端通知所述目标进程的异常启动情况。
3.根据权利要求2所述的方法,其特征在于,在所述拦截所述目标进程,并将所述目标进程的运行权限修改为不可运行之后,所述方法还包括:
在所述拦截状态表中写入本次为所述目标进程进行拦截的拦截记录。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
周期性向服务端发送标识查询请求,以查询当前策略标识;
判断所述当前策略标识与所述策略库中多条策略的历史策略标识是否一致;
若不一致,基于所述当前策略标识从所述服务端获取当前策略,并以所述当前策略更新所述策略库。
5.根据权利要求1或4所述的方法,其特征在于,所述方法还包括:
当所述策略库发生更新后,根据已拦截进程的进程信息判断是否命中更新后的黑名单策略;
若未命中,将所述已拦截进程的运行权限修改为可运行。
6.一种进程拦截系统,其特征在于,包括:
服务端,用于下发处理进程的策略;
客户端,与所述服务端连接,用于将所述服务端下发的策略写入策略库;生成目标进程的进程事件,并通过所述进程事件获取与所述目标进程对应的进程信息;在策略库中查找所述进程信息,判断是否命中黑名单策略;如果命中指示拦截的黑名单策略,拦截所述目标进程,并将所述目标进程的运行权限修改为不可运行。
7.根据权利要求6所述的系统,其特征在于,包括:
所述服务端,还用于在下发处理进程的策略时,根据每一客户端的安全等级/所属网络,向所述客户端下发与所述安全等级/所属网络匹配的策略。
8.根据权利要求6所述的系统,其特征在于,包括:
所述客户端,还用于判断预设拦截状态表中是否存在所述目标进程的历史拦截记录;其中,所述历史拦截记录为此前对进程的拦截记录;如果是,确定所述目标进程异常启动,向服务端通知所述目标进程的异常启动情况;
所述服务端,还用于确定所述目标进程存在异常启动情况后,判断预设网络特征库中,是否存在与所述目标进程的进程信息匹配的异常特征;若存在,输出提示信息,以确定是否生成新策略。
9.根据权利要求6所述的系统,其特征在于,包括:
所述客户端,还用于周期性向服务端发送标识查询请求,以查询当前策略标识;判断所述当前策略标识与所述策略库中多条策略的历史策略标识是否一致;若不一致,基于所述当前策略标识向所述服务端发起策略更新请求;
所述服务端,还用于响应于标识查询请求,返回当前策略标识;响应于策略更新请求,返回所述当前策略标识指示的当前策略。
10.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-5任意一项所述的进程拦截方法。
11.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成权利要求1-5任意一项所述的进程拦截方法。
CN202210723599.6A 2022-06-23 2022-06-23 进程拦截方法及系统、电子设备、存储介质 Pending CN114969744A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210723599.6A CN114969744A (zh) 2022-06-23 2022-06-23 进程拦截方法及系统、电子设备、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210723599.6A CN114969744A (zh) 2022-06-23 2022-06-23 进程拦截方法及系统、电子设备、存储介质

Publications (1)

Publication Number Publication Date
CN114969744A true CN114969744A (zh) 2022-08-30

Family

ID=82964812

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210723599.6A Pending CN114969744A (zh) 2022-06-23 2022-06-23 进程拦截方法及系统、电子设备、存储介质

Country Status (1)

Country Link
CN (1) CN114969744A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115906066A (zh) * 2023-03-09 2023-04-04 天翼云科技有限公司 进程观测方法、装置、电子设备和可读存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115906066A (zh) * 2023-03-09 2023-04-04 天翼云科技有限公司 进程观测方法、装置、电子设备和可读存储介质

Similar Documents

Publication Publication Date Title
CN108268354B (zh) 数据安全监控方法、后台服务器、终端及系统
CN107196895B (zh) 网络攻击溯源实现方法及装置
US7933979B2 (en) Identification information creating method, information processing apparatus, computer program product, recording device monitoring method, terminal apparatus management method, and communication network system
CN112073389B (zh) 云主机安全态势感知系统、方法、设备及存储介质
RU2487405C1 (ru) Система и способ для исправления антивирусных записей
US20160164893A1 (en) Event management systems
CN111885210A (zh) 一种基于最终用户环境的云计算网络监控系统
CN112818307B (zh) 用户操作处理方法、系统、设备及计算机可读存储介质
US20160110544A1 (en) Disabling and initiating nodes based on security issue
CN110868418A (zh) 一种威胁情报生成方法、装置
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
GB2592132A (en) Enterprise network threat detection
CN113608964A (zh) 一种集群自动化监控方法、装置、电子设备及存储介质
CN112784268A (zh) 一种主机行为数据的分析方法、装置、设备及存储介质
US11503053B2 (en) Security management of an autonomous vehicle
US11372971B2 (en) Threat control
CN114969744A (zh) 进程拦截方法及系统、电子设备、存储介质
US11251976B2 (en) Data security processing method and terminal thereof, and server
CN103916376A (zh) 具攻击防护机制的云端系统及其防护方法
JP2006146600A (ja) 動作監視サーバ、端末装置及び動作監視システム
CN116232875B (zh) 一种远程办公方法、装置、设备和介质
US20230254340A1 (en) Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information
CN110798356A (zh) 固件监控方法、装置、存储介质和计算机设备
CN117113340B (zh) 主机失陷检测方法、装置、计算机设备及存储介质
US11968222B2 (en) Supply chain attack detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination